Företaget Cellebrite har gjort sig kända för sitt mobilupplåsningsverktyg. Cellebrite hjälpte bland annat FBI att ta sig in i mobilen som tillhörde skytten som i somras sköt Donald Trump i örat.

Huruvida Cellebrites verktyg kan användas för att komma in i en låst mobil varierar beroende på mobilmodell och operativsystemsversion. Äldre operativsystemsversioner har ofta sårbarheter som Cellebrites verktyg kan utnyttja. Detta framgår av läckta kompatibilitetstabeller som listar vilka mobiler som Cellebrite påstår sig kunna hacka.

Av samma kompatibilitetstabeller framgår att mobiler är avsevärt bättre skyddade om de inte har låsts upp efter omstart. Cellebrites verktyg har begränsade möjligheter att komma in i mobiler i så kallat BFU-läge (Before First Unlock). I samband med släppet av den senaste IOS-versionen har Apple därför infört en ny säkerhetsfunktion. Om en Iphone lämnas oanvänd i fyra dygn startar den automatiskt om till BFU-läge. Det sätter käppar i hjulet för kriminella som vill stjäla Iphone-mobiler i hopp om att de går att låsa upp någon gång i framtiden.

I veckans poddavsnitt pratar Peter och Nikka om Apples senaste tilltag. Nikka beklagar sig över felfokuserade kvällstidningsrubriker som påstår att Apple gör det svårare för polisen att komma in i mobiler. Apple har inte infört säkerhetsfunktionen för att låsa ute polisen. Apple har infört funktionen för att skydda hela världens Iphone-användare mot intrång från kriminella aktörer och människorättskränkande regimer.

Se fullständiga shownotes på https://go.nikkasystems.com/podd274.

Smarta hälsoprylar samlar in stora mängder personuppgifter. Det är rent av deras huvuduppgift. Smarta hälsoprylar ska hjälpa användarna att hålla koll på rörelseaktivitet, viktförändringar och mycket mer därtill.

För att ge största möjliga nytta måste de smarta hälsoprylarnas appar kunna dela data med varandra. Det kan apparna göra på flera olika vis, till exempel genom Hälso-appen på Iphone, Health Connect-appen på Android eller någon av alla molntjänster som har uppfunnits för syftet.

Datainsamlingens och datadelningen baksida blir tydlig när någon av apputvecklarna slarvar med dataskyddet. Veckans podd handlar därför om tre exempel på hur personuppgifter från smarta hälsoprylar har hamnat i fel händer.

Se fullständiga shownotes på https://go.nikkasystems.com/podd273.

En app som installeras på datorn finns alltid kvar på datorn. En fil som sparas på datorns hårddisk finns alltid kvar på datorns hårddisk. Det kan jämföras med molntjänster. Dagen då företaget som driver en molntjänst bestämmer sig för att inte längre tillhandahålla tjänsten försvinner alla spår av såväl appen som den sparade datan.

Problemet med molntjänster som ”regnar bort” har växt i takt med att allt fler appar ersatts med just molntjänster. Tidigare i veckan kom det senaste exemplet. Nyhetsläsaren Omnivore meddelade att de hade förvärvats av AI-företaget Elevenlabs och att Omnivores molntjänst därför läggs ned. Omnivore-användare har nu drygt två veckor på sig att exportera sin data innan den raderas.

I veckans poddavsnitt pratar Peter och Nikka om problemet med molntjänster som försvinner. Nikka poängterar återigen vikten av att aldrig välja en molntjänst som saknar exportfunktion och att helst undvika molntjänster som inte sparar offline-kopior automatiskt.

Se fullständiga shownotes på https://go.nikkasystems.com/podd272.

I mitten av oktober rapporterade australiensiska ABC News om kapade robotdammsugare. Angripare hade lyckats komma åt robotdammsugarnas fjärrstyrningsfunktioner och börjat skrika rasistiska obsceniteter genom robotdammsugarnas högtalare. Hemma hos en familj hade angriparna till och med börjat fjärrstyra robotdammsugaren och jaga runt familjens stackars hund.

Robotdammsugarna var tillverkade av Ecovacs och var utrustade med såväl kamera som mikrofon. Det innebär att andra angripare kan ha valt att inte ge sig tillkänna och i stället utnyttjat robotdammsugarna för spionage.

Förra veckan rapporterade finska Yle dessutom att Nordea plågats av överbelastningsattacker som orsakats av just kapade hushållsprodukter. I veckans avsnitt av Bli säker-podden återvänder därför Peter och Nikka till problemet med ”smarta” prylar vars smarthet bör ifrågasättas och vars säkerhet kan kritiseras.

Se fullständiga shownotes på https://go.nikkasystems.com/podd271.

QR-koder har en stor fördel: de är synnerligen lättlästa för datorer och mobiler. Tyvärr är de samtidigt helt oläsbara för oss människor. Det gör QR-koder till ett ypperligt verktyg för nätfiskeattacker.

Vi har nu fått ett nytt exempel på QR-kodsbaserade nätfiskeattacker. Smarta bedragare hade klistrat sina egna QR-koder ovanpå ett irländskt parkeringsbolags QR-koder. När parkeringsgäster skannade QR-koderna för att betala leddes de till bedragarnas webbplats i stället för parkeringsbolagets webbplats.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om problemet med nätfiskande QR-koder. Podduon går också igenom vad regeringens önskemål om utökad och permanent tillåten hemlig dataavläsning innebär. Nikka berättar även varför han avbryter sin utvärdering av sökmotorn Kagi. Hans upptäckter gör en rekommendation av sökmotorn helt utesluten.

Se fullständiga shownotes på https://go.nikkasystems.com/podd270.

En hackergrupp med kopplingar till den kinesiska staten har infiltrerat tre amerikanska internetoperatörer. Angriparna kan ha haft åtkomst till nätverken i flera månader. Detta avslöjar källor till Wall Street Journal. Hackergruppen ska enligt tidningen ha utnyttjat samma system som amerikanska myndigheter drar nytta av för sin lagliga trafikavlyssning.

I veckans poddavsnitt pratar Peter och Nikka om nyheten från USA och uppvaknandet som nyheten förhoppningsvis leder till. Nikka drar paralleller till de svenska försöken att kringgå EU:s förbud mot massdatalagring – försök som syftar till att få internetoperatörer att samla in och lagra trafikdata.

Peter och Nikka pratar också om en rekordstor överbelastningsattack, Microsofts förbättrade stöd för lösennycklar samt Adobes nya licensmodell. Ur ett underhållsperspektiv kan Adobes licensmodell antingen vara en stor förbättring eller tidernas bottenskrap. Om ett år har vi svaret.

Se fullständiga shownotes på https://go.nikkasystems.com/podd269.

Smarta hem-produkter och IoT (”Internet of Things”) har alltid haft ett dåligt säkerhetsrykte. Det sägs skämtsamt i branschen att bokstaven S i förkortningen IoT står för säkerhet.

När penetrationstestaren Laban Sköllermark köpte en realtidsavläsare till sin elmätare fick han ytterligare ett exempel på detta. Laban upptäckte flera säkerhetsbrister, vilka tillsammans gjorde att angripare kunde stjäla lösenordet till det trådlösa nätverket som realtidsavläsaren kopplades upp mot.

I veckans podd gästar Laban Sköllermark studion. Han berättar om sitt jobb som penetrationstestare och hur han upptäckte de nämnda säkerhetsbristerna. Han ger också konkreta avslutande råd kring vad alla bör tänka på för att hålla sina smarta hem-nätverk säkra.

Se fullständiga shownotes på https://go.nikkasystems.com/podd268.

En färsk rapport från Yubico visar att 46 % av svenska folket har råkat ut för en lösenordsläcka under det senaste året. Det sänder en tydlig signal om att lösenord är en så säkerhetsmässigt svag inloggningsmetod att den måste kompletteras med tvåfaktorsautentisering. Tyvärr låter många användare bli att aktivera tvåfaktorsautentisering, inte bara på grund av att det är tidskrävande utan också på grund av oro för hur det egentligen fungerar.

Osäkerhet och förvirring har med hög sannolikhet också hämmat anammandet av lösennycklar (passkeys). Google och Microsoft har varit bidragande till den förvirringen. Fram till nu har Google enbart synkroniserat lösennycklar mellan Android-enheter. Om en Chrome-användare sparat en lösennyckel på sin dator har lösennyckeln varken säkerhetskopierats eller synkroniserats med användarens Android-mobil.

Förra veckan tog Google äntligen itu med problematiken. Nu fungerar Googles lösning precis som Apples motsvarighet, det vill säga att alla lösennycklar synkroniseras mellan alla kompatibla enheter. För Googles del innebär det Windows, Mac OS, Linux och Android samt inom kort Chrome OS och IOS. Nu är det bara Microsoft som fortfarande saknar stöd för synkronisering och säkerhetskopiering av lösennycklar.

I veckans podd pratar Peter och Nikka om Googles glädjande nyheter och hur dessa påverkar lösennycklarnas möjlighet att bli en folklig inloggningsmetod. Peter och Nikka pratar också om Apples nya lösenordshanterare i Mac OS och IOS som i stor utsträckning utmanar Bitwarden, Proton Pass och 1password.

Se fullständiga shownotes på https://go.nikkasystems.com/podd267.

Under veckan eskalerade konflikten mellan Israel och den terrorstämplade milisgruppen Hizbollah. Världens blickar vändes mot Libanon när Hizbollah-medlemmars personsökare och walkie-talkie-enheter plötsligt exploderade. De koordinerade explosionerna gav upphov till rykten om cyberattacker som antogs kunna spränga allt från personsökare till mobiltelefoner.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om vad som egentligen sprängde enheterna. Det rörde sig inte om någon cyberattack utan om en leveranskedjeattack där Israel hade förpreparerat Hizbollah-beställda enheter med sprängämnen.

Veckans avsnitt handlar också om överraskande dåligt säkerhetsunderhåll av Apple-produkter, polisens tillslag mot Ghost ECC (Operation Kraken) och regeringens budgettillskott som ska stärka informations- och cybersäkerhetsarbetet i det svenska samhället.

Se fullständiga shownotes på https://go.nikkasystems.com/podd266.

Biltillverkaren Ford har lämnat in en kontroversiell patentansökan. Ford vill ha patentet för ett nytt sätt att personanpassa ljud- och videoannonser inuti bilar. Tekniken kallas ”In-vehicle Advertisement Presentation”. Den är tänkt att välja ut annonser för bilens infotainment-system och högtalaranläggning utifrån vart bilen är på väg och personerna som sitter däri.

Tekniken ska enligt patentansökan också anpassa hur ofta annonserna visas på skärmarna eller spelas upp i högtalarna. En av parametrarna som avgör frekvensen är huruvida bilens resenärer är upptagna med att prata med varandra. Om resenärerna är inne i en livlig diskussion ska tekniken inte störa resenärerna med ljudannonser. Systemet ska i stället lyssna på vad resenärerna pratar om och snappa upp nyckelord som senare kan utnyttjas för att spela upp relaterade annonser. Fords patentansökan beskriver därmed exakt den tjuvlyssning som folk oroar sig för att deras mobiler ägnar sig åt.

I veckans podd pratar Peter och Nikka om Fords kontroversiella patentansökan. Till skillnad från myten om tjuvlyssnande mobiler kan nämligen tjuvlyssnande bilar bli verklighet.

Se fullständiga shownotes på https://go.nikkasystems.com/podd265.

Sättet som vi uppfattar världen bestäms i nämnvärd utsträckning av våra sökmotorer. Om en webbsida inte listas i Googles eller Bings sökresultat kommer få besökare att hitta dit. Det vilar därför ett tungt ansvar på Googles och Microsofts axlar. Deras presentation av webben kan påverka samhällsdebatten utan att någon ens märker det.

Tyvärr blir det svårare för sökmotorer att ge en allsidig bild av webben. Samtidigt som den sökbara ”ytwebben” överöses med lågkvalitativt och AI-genererat innehåll flyttar de mänskliga diskussionerna till djupwebben. Djupwebben är den del av webben som det krävs inloggning för att komma åt, vilket gör att publika sökmotorer inte kan hitta innehållet. Facebook-grupper och Discord-kanaler kan innehålla massvis av bra information, men användare som söker via Google eller Bing kan inte hitta den.

Parallellt med denna trend har företaget bakom den populära forumsajten Reddit orsakat nya orosmoln. För att sökmotorer ska få indexera Reddits innehåll måste de nu betala en avgift. Google har valt att betala avgiften medan Microsoft har valt att avstå. Det innebär att Microsofts Bing-sökmotor saknar de senaste månadernas Reddit-diskussioner.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om problemen som uppstår när de allmänna sökmotorerna inte speglar hela webben. Konsekvenserna kan bli långtgående och situationen spelar världens desinformationsspridare rakt i händerna.

Se fullständiga shownotes på https://go.nikkasystems.com/podd264.